Magecart Hackers Insert Skimming code in een Third-Party JavaScript Library
CYBER NEWS

Magecart Hackers Insert Skimming code in een Third-Party JavaScript Library

Onthoud Magecart?

In november vorig jaar, security onderzoekers ontdekten dat het de beruchte malware, bekend voor het oogsten van credit card gegevens van formulieren in,

opnieuw kon infecteren, zelfs na clean-up.




Nu, Magecart is weer actief in beruchte campagnes waarin 277 e-commerce websites werden besmet in supply-chain-aanvallen. Wat betekent dit?

New Magecart campagnes gedetecteerd

Beveiliging onderzoekers van RiskIQ en Trend Micro kwam in een nieuwe subgroep bekend als Magecart Group 12 die infecteert gerichte websites door het invoegen van skimming code in een third-party JavaScript-bibliotheek. Deze techniek laadt de kwaadaardige code in alle websites die de bibliotheek gebruiken.

Verder onderzoek naar deze activiteiten is gebleken dat de skimming code niet direct werd geïnjecteerd in e-commerce websites, maar aan een derde partij JavaScript-bibliotheek door Adverline houdt zich bezig, een Franse online advertising bedrijf, wat we onmiddellijk contact opgenomen. ADVERLINE heeft het voorval heeft verwerkt en geeft de noodzakelijke saneringen in relatie uitgevoerd met de CERT Post, zei Trend Micro onderzoekers in hun verslag.

RiskIQ onderzoekers hebben ook nauw toezicht op de Magecart groep. Blijkbaar, Groep 12 creëerde zijn infrastructuur in september vorig jaar, domeinen ingeschreven, SSL-certificaten werden opgezet door middel LetsEncrypt, en de skimming backend is geïnstalleerd. De hackers ook gebruik maken van een klein fragment met een base64 URL van de middelen, dat wordt gedecodeerd runtime en geïnjecteerd in de pagina, RiskIQ De bevindingen van het rapport.

Verwant: MagentoCore: de meest agressieve Skimmer Infecteert 60 Winkels per dag

De groep erin geslaagd om gerichte websites te compromitteren door middel Adverline houdt zich bezig aan het einde van 2018.
Opgemerkt dient te worden dat Magecart Group 12's skimming code is iets anders, met “een interessante wending”- het beschermt zichzelf tegen deobfuscation en analyse door het uitvoeren van een integriteitscontrole op zichzelf.

Als voor de eigenlijke injectie script, het komt in twee fasen, beide ontworpen om een ​​self-integriteit controle uit te voeren. Hier is hoe de twee fasen plaatsvinden, als toegelicht door RiskIQ:

– De gehele eerste fase wordt uitgevoerd als een functie, die globaal gedefinieerd (dit is belangrijk)
– De tweede trap wordt gecodeerd en opgevuld met troepgegevens, die wordt geschreven naar een nieuw object div
– Deze tweede fase data vervolgens unpadded, gedecodeerd, en uiteindelijk geëxecuteerd
– De uitgevoerde code grijpt een verwijzing naar zichzelf (die werd wereldwijd ingesteld) en wordt gezet door middel van een hash-functie die de JavaScript-implementatie van Java's hashCode.
– Als de controle valideert de volgende fase wordt uitgevoerd.

Gelukkig, ADVERLINE heeft al het probleem opgelost door het verwijderen van de kwaadaardige code uit de getroffen JavaScript-bibliotheek.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...